统一身份认证系统---企业实施和保护

统一身份认证系统的核心目标是为每个用户赋予一个身份，可以是企业身份标识、生物特征标识等，该数字身份一经建立，从用户登录系统->权限授予->登出系统的整个过程中，根据需要在恰当的条件下及时赋予正确的用户对企业内适当资产的访问权，并对资源的使用过程进行全过程的安全审计。

管理服务

统一身份认证系统是企业所有应用系统标准化的用户管理基础设施,它集中管理着所有应用系统的用户,包括用户整个生命周期的管理、用户账号的统一管理以及用户属性的统一管理,并为各个应用系统提供安全的服务与支持。

因此统一身份认证系统旨在管人、管系统。

“人”可以是自然人，也可以是设备，如充电桩、车载系统等。统一身份认证系统的核心是围绕以”人”为中心的全生命周期管理模式，通过人员的属性勾画人员画像；通过人员的生物特征或其他标识属性进行身份认证；通过人员的业务不同进行人员分类；通过不同系统的权限体系进行人员权限；通过人员的活动周期，如入职、调岗、离职、返聘、到访、离场等过程的进行全过程监控。

人的身份与人的访问权限管理是任何企业安全管理中两个的重点管理对象，它与企业的安全和生产力密不可分。

由于企业中各个系统面向不同业务管理方向，各有其对应的用户群体，不同的用户群体对应不同的权限体系，系统间的信息共享、信息交换、人员分类必然受到限制...因此企业需要定义统一标准的人员类型，常见的人员类型有：正式员工、实习生、外服人员、供应商、临时访客、嘉宾、退休返聘、设备用户、一级粉丝、二级粉丝...视企业的具体人员组成而定。以人力资源为主要内部人员信息来源，并集成收集互联网、OA、CRM、SRM等为外部人员信息来源，建立集团性质身份管理数据源；并由统一身份认证系统统一对外提供人员身份数据供给服务，实现从统一身份系统到各个应用系统间的数据同步。

“系统”包含了企业应用系统、IT服务器、安全设备、网络设备、数据库等。统一身份认证旨在将分散在各个信息系统中的用户账户管理、属性管理及入门级应用访问权限进行统一集中管理,简化信息系统管理人员对多信息系统账户操作的维护工作量,提升系统安全性。同时可根据企业内部的组织架构,通过体系化的部署建设,使之能够覆盖企业内部分散的多个应用域。

1. 统一账号、身份池管理。将用户与用户在各个系统的身份进行统一管理。

2. 建立以自然人为中心的管理模式，定义权限开通规范，明确什么样的人员群体开通的应用系统权限。

3.  根据人员类型、职位、部门等设置不同的权限供给策略，当人员信息发生变更时由统一身份认证系统自动完成各个应用系统中的人员信息修改、权限合并、权限变更。

认证服务

员工可以代表身份的标识在系统与系统、用户与系统、用户与用户之间建立起一种信任关系,从而保证了系统的安全性。人员的认证标识包含：手机、指纹、人脸、互联网账号（QQ、微信、微博、支付宝等）、工号、AD账号、邮箱、门禁卡、一卡通账号等；

认证内容包含员工的身份信息、员工的办公环境。员工的应用系统访问权限。人们需要既能保护住隐私又能验明自身的方法，我们需要通过人员的信息能够清晰描绘出人员的画像，以便确立该员工的身份：

1. 通过员工指纹、人脸能够判断该人员是为我企业员工，还是外部访客；

2. 通过员工政治面貌、工龄、岗级、荣誉证书、职称等信息判断该员工可以享受什么样的公司福利、社会福利、国家福利、社会公益活动等；

3. 通过员工、支付宝、微信等信息判断该员工是否可以进入内部停车场停车并支付，饭堂吃饭付费等；

4. 通过工卡、指纹、人脸等信息判断该员工可以办公的楼层、可以使用的办公电话、办公PC、打印机、可以访问的应用系统等；

5. 员工通过指纹识别可以使用公共PC、公共电话、打印机等公共资源

认证方式的发展历程：LADP目录服务--->集中身份验证服务--->双因子认证2FA--->多因素认证MFA--->生物特征身份认证-->…；

目前流行的认证手段包含：AD域、Kerberos、OpenLdap、CA、U-Key、OTP、SMS、人脸、指纹、IOT、Oauth、CAS、OIDC、LTPA、SAML等等。

企业服务

统一身份认证系统的建设目标是为企业的各种网络服务和应用系统提供统一的用户管理平台和身份认证服务,管理人员可以在同一认证系统中集中对各个应用系统的用户进行管理,有效提高整个企业的管理和运行效率，并使企业在管理上满足企业安全合规性要求。

1) 临时访客应该哪些楼层；可以连接哪个网络

2) 出差的到下属单位或集团的员工可以访问哪些楼层

3) 退休返聘人员可以访问哪些协同办公系统

4) 外服人员人员使用哪些办公电话、打印机

5) 员工自身清晰自己访问的系统权限

1) 避免了传统认证方式所带来的弱口令风险

2) 人员离职后及时关闭所有权限避免恶意访问所带来的数据泄露风险

3) 清晰统计各单位、各部门、各人员的权限开通情况

4) 清晰统计各部门人员打印机打印次数、打印纸张

1) 建立各类人员生命周期管理规范制度

2) 建立应用系统权限安全访问规范

3) 建立IDC服务器等特权账号访问安全规范

4) 所有特权账号密码统一管理、定期改密、使用前申请、使用中监控、使用后审计

5) 避免系统中影子账号、僵尸账号存在